Для мониторинга сетевого трафика, например, анализа поведения пользователей в сети, мониторинга аномального трафика и мониторинга сетевых приложений, необходимо собирать сетевой трафик. Сбор сетевого трафика может быть неточным. Фактически, необходимо скопировать текущий сетевой трафик и отправить его на устройство мониторинга. Сетевой разветвитель, также известный как Network TAP, выполняет именно эту задачу. Давайте рассмотрим определение Network TAP:
I. Сетевой адаптер (Network Tap) — это аппаратное устройство, обеспечивающее доступ к данным, передаваемым по компьютерной сети. (из Википедии)
II. АСетевой переходникРазветвитель сети, также известный как тестовый порт доступа, представляет собой аппаратное устройство, которое подключается непосредственно к сетевому кабелю и передает сетевой трафик другим устройствам. Разветвители сети широко используются в системах обнаружения вторжений (IPS), сетевых детекторах и профилировщиках. Репликация трафика на сетевые устройства в настоящее время обычно осуществляется с помощью анализатора портов коммутации (span port), также известного как зеркалирование портов в сетевой коммутации.
III. Сетевые ответвители используются для создания постоянных портов доступа для пассивного мониторинга. Ответвитель, или тестовый порт доступа, может быть установлен между любыми двумя сетевыми устройствами, такими как коммутаторы, маршрутизаторы и межсетевые экраны. Он может функционировать как порт доступа для устройств мониторинга, используемых для сбора данных в режиме реального времени, включая системы обнаружения вторжений, системы предотвращения вторжений, развернутые в пассивном режиме, анализаторы протоколов и инструменты удаленного мониторинга. (из NetOptics).
Исходя из приведенных выше трех определений, можно выделить несколько основных характеристик Network TAP: аппаратная, встроенная, прозрачная.
Вот некоторые из этих функций:
1. Это независимое аппаратное устройство, и поэтому оно не оказывает никакого влияния на нагрузку существующих сетевых устройств, что имеет большие преимущества перед зеркалированием портов.
2. Это устройство подключается к сети. Проще говоря, его необходимо подключить к сети, что вполне понятно. Однако это также имеет недостаток, заключающийся в создании точки отказа, и поскольку это устройство работает в режиме онлайн, в зависимости от места его развертывания, текущую сеть необходимо будет прерывать во время установки.
3. Прозрачность относится к указателю на текущую сеть. Сети доступа после шунтирования, текущая сеть для всего оборудования, не оказывает никакого влияния, для них она полностью прозрачна. Конечно, она также содержит трафик, отправляемый шунтированием сети на оборудование мониторинга. Устройство мониторинга для сети прозрачно, как если бы вы подключились к новой электрической розетке, для других существующих приборов ничего не происходит, даже когда вы, наконец, убираете прибор и вдруг вспоминаете стихотворение: «Помаши рукавом, а не облаком».
Многие знакомы с зеркалированием портов. Да, зеркалирование портов также может обеспечить тот же эффект. Вот сравнение сетевых переадресаторов/отключений и зеркалирования портов:
1. Поскольку сам порт коммутатора фильтрует некоторые пакеты с ошибками и пакеты слишком малого размера, зеркалирование портов не может гарантировать получение всего трафика. Однако шунтирующий модуль обеспечивает целостность данных, поскольку они полностью «копируются» на физическом уровне.
2. Что касается производительности в реальном времени, на некоторых коммутаторах низкого ценового сегмента зеркалирование портов может вызывать задержки при копировании трафика на зеркалируемые порты, а также задержки при копировании портов 10/100 Мбит/с на порты GIGA.
3. Для зеркалирования портов требуется, чтобы пропускная способность зеркалируемого порта была больше или равна сумме пропускных способностей всех зеркалируемых портов. Однако это требование может не выполняться всеми коммутаторами.
4. На коммутаторе необходимо настроить зеркалирование портов. После того, как потребуется скорректировать области мониторинга, коммутатор необходимо перенастроить.
Дата публикации: 05.08.2022
